CoolWWWSearch, trek blue error nuker

IP: *.neoplus.adsl.tpnet.pl 21.09.05, 15:51
Wymienione wyzej dziadostwo zagniezdzilo sie w moim kompie i mimo
wielokrotnego odpalania Ad-Aware i Spybot, siedzi dalej. Mam podmieniona
strone startowa - mimo ze pozornie jest about blank, to laduje sie jakas
lipna wyszukiwarka. Wyskakuja pop-upy z samochodami albo ofertami dla
swingersow, albo, co w sumie jest tragikomiczne, z reklamami programow anty
spyware... Najgorsze jest to, ze co wywale ten spyware, on wraca jak
bumerang. Czyzby zostalo mi jedynie sformatowac dysk ? Dodam, ze padla mi
rowniez siec domowa, kompy sie nie widza i nie wiem czy to osobne
nieszczescie czy tez sprawka tych nieusuwalnych programow.
    • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 21.09.05, 20:54
      Po co pomyslec i uzyc google jak mozna zrob format...
      Lepiej wklej log z hijackthis.
      • Gość: zmartwiona Re: CoolWWWSearch, trek blue error nuker IP: *.neoplus.adsl.tpnet.pl 21.09.05, 21:45
        Mysle i uzywam google jak tez czytam co inni madrzy ludzie pisza po forach o
        tym dziadostwie. A oto log:

        Logfile of HijackThis v1.99.1
        Scan saved at 21:44:14, on 2005-09-21
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
        C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
        C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
        C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
        C:\Program Files\Ahead\InCD\InCD.exe
        C:\Program Files\Common Files\Real\Update_OB\realsched.exe
        C:\Program Files\D-Tools\daemon.exe
        C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        C:\Program Files\Common Files\Symantec Shared\ccApp.exe
        C:\WINDOWS\system32\netoe.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
        C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe
        C:\Program Files\GetRight\getright.exe
        C:\Program Files\GetRight\getright.exe
        C:\Program Files\Nikon\NkView6\NkvMon.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\System32\drivers\CDAC11BA.EXE
        C:\WINDOWS\system32\gearsec.exe
        C:\Program Files\Norton AntiVirus\navapsvc.exe
        C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
        C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
        C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
        C:\PROGRA~1\NEOSTR~1\ComComp.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\PROGRA~1\NEOSTR~1\Watch.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\ieib32.exe
        C:\WINDOWS\system32\ieib32.exe
        C:\WINDOWS\System32\wuauclt.exe
        C:\Downloads\stinger.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Program Files\WinRAR\WinRAR.exe
        C:\DOCUME~1\kasia\USTAWI~1\Temp\Rar$EX02.483\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        about:blank
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
        red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - Default URLSearchHook is missing
        O2 - BHO: Class - {4BE19F1C-0669-81C5-F5D9-A1A5F012FBE5} - C:\WINDOWS\system32
        \iptm32.dll
        O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
        Files\Norton AntiVirus\NavShExt.dll
        O2 - BHO: (no name) - {C2A2A50C-81E0-3492-B339-E2B46D202CD8} -
        C:\WINDOWS\system32\iptm32.dll
        O2 - BHO: Class - {E487650B-242B-EE1E-0BF6-E88C8D4757E3} - C:\WINDOWS\system32
        \ntux32.dll
        O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
        C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
        O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
        files\google\googletoolbar2.dll
        O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
        C:\Program Files\Norton AntiVirus\NavShExt.dll
        O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
        O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
        Files\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
        O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -
        lang 1033
        O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        O4 - HKLM\..\Run: [autoclk] autoclk.exe
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        O4 - HKLM\..\Run: [adiras] adiras.exe
        O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
        Shared\ccApp.exe"
        O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
        Shared\Security Center\UsrPrmpt.exe
        O4 - HKLM\..\Run: [netoe.exe] C:\WINDOWS\system32\netoe.exe
        O4 - HKLM\..\Run: [mssl.exe] C:\WINDOWS\mssl.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
        Destroy\TeaTimer.exe
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
        \DSLMON.exe
        O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program
        Files\GetRight\getright.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
        O8 - Extra context menu item: &Google Search - res://c:\program
        files\google\GoogleToolbar2.dll/cmsearch.html
        O8 - Extra context menu item: &Translate English Word - res://c:\program
        files\google\GoogleToolbar2.dll/cmwordtrans.html
        O8 - Extra context menu item: Backward Links - res://c:\program
        files\google\GoogleToolbar2.dll/cmbacklinks.html
        O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
        files\google\GoogleToolbar2.dll/cmcache.html
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O8 - Extra context menu item: Similar Pages - res://c:\program
        files\google\GoogleToolbar2.dll/cmsimilar.html
        O8 - Extra context menu item: Translate Page into English - res://c:\program
        files\google\GoogleToolbar2.dll/cmtrans.html
        O8 - Extra context menu item: Znajdź w Racjonaliście -
        C:\WINDOWS\WEB\racjonalista.htm
        O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
        \bdoscandel.exe (file missing)
        O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
        {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
        O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - software-
        dl.real.com/25f8a3f2fbd9c25b4206/netzip/RdxIE601.cab
        O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
        www.bitdefender.com/scan8/oscan8.cab
        O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
        www.bph.pl/pi/components/SignActivX.cab
        O16 - DPF:
        • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 21.09.05, 21:53
          Skoro czytasz to czemu to jeszcze masz? Chodzilo mi bardziej o to glupie
          postepowanie, cos jest zle to format...

          Do tego widze piracki nie aktualizowany windows, przeciez cos takiego nie
          nadaje sie do internetu! Wszystko Ci sie samo instaluje..
          Zmien przegladarke to na poczatek, opera lub firefox (obie znajdziesz na
          google).
          Log sie nie zmiescil, na przyszlosc sprawdzaj czy sie cale zmiescilo (posty
          maja limit znakow)

          Opis usuwania CWS'a:
          www.searchengines.pl/phpbb203/index.php?showtopic=14185&st=45&#entry87957
          Przeskanuj tez tym:
          download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
          download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
          przeskanowaniu odinstaluj.
          Zamknij porty tym:
          www.firewallleaktester.com/tools/wwdc.exe

          Wywal aplikacje od neostrady:
          forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440
          W hijackthis:

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          about:blank
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          res://C:\WINDOWS\system32\uwyvj.dll/sp.html#63796
          R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
          red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*www.yahoo.com
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
          R3 - Default URLSearchHook is missing
          O2 - BHO: Class - {4BE19F1C-0669-81C5-F5D9-A1A5F012FBE5} - C:\WINDOWS\system32
          \iptm32.dll <- usun plik
          O2 - BHO: (no name) - {C2A2A50C-81E0-3492-B339-E2B46D202CD8} -
          C:\WINDOWS\system32\iptm32.dll <- usun plik
          O2 - BHO: Class - {E487650B-242B-EE1E-0BF6-E88C8D4757E3} - C:\WINDOWS\system32
          \ntux32.dll <- usun plik
          O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
          C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll <- odinstaluj
          i usun.
          O3 - Toolbar: (no name) - {E0E899AB-F487-115-8D29-0050BA6940E3} - (no file)
          O4 - HKLM\..\Run: [netoe.exe] C:\WINDOWS\system32\netoe.exe <- usun plik
          O4 - HKLM\..\Run: [mssl.exe] C:\WINDOWS\mssl.exe <- usun plik
          O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
          \bdoscandel.exe (file missing)
          O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
          {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
          • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 13:35
            ja mam podobny problem z tym ze jak robie scan Spybotem to mi wykrywa tego
            NUKERA i nie moge go usunac,jka robie scan hijackthis to nic mi na czerwono nie
            wyskakuje. do tego mam jeszcze jakiegos CoolWWWSearch.SearchKlick i tez za
            pomoca Apybota nie daje rady tego usunac. ponizej wklejam log z hijackthis moze
            pomozecie.dzieki
            Logfile of HijackThis v1.99.1
            Scan saved at 13:34:35, on 2005-10-09
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.EXE
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            C:\Program Files\Alwil Software\Avast4\ashServ.exe
            C:\WINDOWS\system32\nvsvc32.exe
            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
            C:\WINDOWS\SOUNDMAN.EXE
            C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
            C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
            C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            C:\Program Files\Winamp\winampa.exe
            C:\WINDOWS\winds32.exe
            C:\Program Files\Skype\Phone\Skype.exe
            C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
            C:\WINDOWS\system32\mstw.exe
            C:\Program Files\Mozilla Firefox\firefox.exe
            C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
            C:\Documents and Settings\Karol\Pulpit\hijackthis\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            R3 - Default URLSearchHook is missing
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
            O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
            C:\PROGRA~1\SPYBOT~1\SDHelper.dll
            O2 - BHO: Class - {9114249C-F5E5-36A3-4480-169B869E0556} - C:\WINDOWS\sdkar.dll
            O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
            C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
            O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
            Files\Java\jre1.5.0_04\bin\jusched.exe
            O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [winds32.exe] C:\WINDOWS\winds32.exe
            O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
            /minimized
            O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
            O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
            Office\Office\FINDFAST.EXE
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console -
            {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
            Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger -
            {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O23 - Service: Network Security Service ( 11Fßä#·şÄÖ`I) - Unknown owner -
            C:\WINDOWS\system32\mstw.exe
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashWebSv.exe" /service (file missing)
            O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
            C:\WINDOWS\system32\nvsvc32.exe

            moze jakies dodatkowe instrukcje na maila: kaol@go2.pl
            ponadto juz mi explorer wogole nie dziala, tak jakby go wywalilo.
            • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 14:56
              Zakoncz w menadzerze zadan:
              C:\WINDOWS\winds32.exe

              Usun w hijackthis:

              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              about:blank
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
              about:blank
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
              R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
              about:blank
              R3 - Default URLSearchHook is missing
              O2 - BHO: Class - {9114249C-F5E5-36A3-4480-169B869E0556} - C:\WINDOWS\sdkar.dll
              <- usun plik
              O4 - HKLM\..\Run: [winds32.exe] C:\WINDOWS\winds32.exe <- usun plik
              O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi
              Soft\Register\schedule.exe <- to tez usun z autostartu (w menu start)
              O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
              Office\Office\FINDFAST.EXE <- usun z autostartu (w menu start)
              O23 - Service: Network Security Service ( 11Fßä#·şÄÖ`I) - Unknown owner -
              C:\WINDOWS\system32\mstw.exe <- uruchom service.msc i tam odszukaj i wylacz ta
              usluge, nastepnie w hijackthis -> delete nt service wpisz 11Fßä#·şÄÖ`I

              Przeskanuj tez tym:
              download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
              download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
              przeskanowaniu odinstaluj.
              Zamknij porty tym:
              www.firewallleaktester.com/tools/wwdc.exe
              • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 15:25
                sciagnalem jakis program Error NUker ale tez to nic nie dalo. cjhociaz moge
                teraz wchodzic na www przez explorera. probuje ponownie tak jak radzisz moze
                teraz cos sie uda.masz moze gg zebym mogl na bierząco z Tobą porozmawiac co i
                jak robic w razie klopotow. MOj GG to 4551662
                • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 15:57
                  Pisz na forum w razie problemow.
                  Error Nuker odinstaluj, do niczego Ci sie to nie przyda.
              • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 15:41
                teraz po przeskanowaniu tym progeramem Error Nuker mam znowu cos innego w
                hijackthis. teraz to juz calkiem zgupialem.
                Logfile of HijackThis v1.99.1
                Scan saved at 15:38:56, on 2005-10-09
                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\SOUNDMAN.EXE
                C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
                C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                C:\Program Files\Error Nuker\bin\ErrorNuker.exe
                C:\Program Files\ClamWin\bin\ClamTray.exe
                C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
                C:\WINDOWS\system32\mstw.exe
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                C:\Program Files\Alwil Software\Avast4\ashServ.exe
                C:\WINDOWS\system32\nvsvc32.exe
                C:\Program Files\Mozilla Firefox\firefox.exe
                C:\WINDOWS\system32\wuauclt.exe
                C:\Documents and Settings\Karol\Pulpit\hijackthis\HijackThis.exe

                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
                res://C:\WINDOWS\aoaap.dll/sp.html#28129
                R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
                res://C:\WINDOWS\aoaap.dll/sp.html#28129
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
                res://C:\WINDOWS\aoaap.dll/sp.html#28129
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
                res://C:\WINDOWS\aoaap.dll/sp.html#28129
                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
                res://C:\WINDOWS\aoaap.dll/sp.html#28129
                R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                res://C:\WINDOWS\aoaap.dll/sp.html#28129
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                R3 - Default URLSearchHook is missing
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                O2 - BHO: Class - {0FF8D353-F31C-0E63-FF78-664C927DC714} - C:\WINDOWS\javakj32.dll
                O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
                C:\PROGRA~1\SPYBOT~1\SDHelper.dll
                O2 - BHO: Class - {C231147F-B1BC-281B-58BC-F96EC43C13E7} -
                C:\WINDOWS\system32\mfcls32.dll
                O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                Files\Java\jre1.5.0_04\bin\jusched.exe
                O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe
                autostart
                O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
                O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
                /minimized
                O4 - HKCU\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
                O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
                Office\Office\FINDFAST.EXE
                O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                O9 - Extra 'Tools' menuitem: Sun Java Console -
                {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\Program Files\Messenger\msmsgs.exe
                O9 - Extra 'Tools' menuitem: Windows Messenger -
                {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                skaner.mks.com.pl/SkanerOnline.cab
                O23 - Service: Network Security Service (NSS) ( 11Fßä#·şÄÖ`I) - Unknown owner -
                C:\WINDOWS\system32\mstw.exe
                O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashServ.exe
                O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                C:\WINDOWS\system32\nvsvc32.exe

                • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 16:02
                  Opis usuwania CWS masz tutaj:
                  www.searchengines.pl/phpbb203/index.php?showtopic=14185&st=45&#entry87957
                  W hijackthis usun:

                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
                  res://C:\WINDOWS\aoaap.dll/sp.html#28129
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
                  res://C:\WINDOWS\aoaap.dll/sp.html#28129
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
                  about:blank
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
                  res://C:\WINDOWS\aoaap.dll/sp.html#28129
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
                  res://C:\WINDOWS\aoaap.dll/sp.html#28129
                  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
                  res://C:\WINDOWS\aoaap.dll/sp.html#28129
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                  res://C:\WINDOWS\aoaap.dll/sp.html#28129
                  R3 - Default URLSearchHook is missing
                  O2 - BHO: Class - {0FF8D353-F31C-0E63-FF78-664C927DC714} -
                  C:\WINDOWS\javakj32.dll <- usun plik
                  O2 - BHO: Class - {C231147F-B1BC-281B-58BC-F96EC43C13E7} -
                  C:\WINDOWS\system32\mfcls32.dll <- usun plik
                  O4 - HKCU\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
                  <- odinstaluj.
                  O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
                  Office\Office\FINDFAST.EXE <- to miales usunac z autostartu i co?
                  Miales to usunac i co? czytasz w ogole co Ci napisalem ?
                  O23 - Service: Network Security Service (NSS) ( 11Fßä#·şÄÖ`I) - Unknown owner -
                  C:\WINDOWS\system32\mstw.exe

                  Log wklej dopiero jak zrobisz to co napisalem! Bo jak narazie to nie zrobiles
                  nic wiec nie pisz wiecej.


                  • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 16:14
                    teraz mam cos takiego po usunieciu tego co kazales:

                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\WINDOWS\SOUNDMAN.EXE
                    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                    C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
                    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                    C:\WINDOWS\system32\mstw.exe
                    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                    C:\Program Files\Alwil Software\Avast4\ashServ.exe
                    C:\WINDOWS\system32\nvsvc32.exe
                    C:\Program Files\Gadu-Gadu\gg.exe
                    C:\Program Files\Mozilla Firefox\firefox.exe
                    C:\Documents and Settings\Karol\Pulpit\hijackthis\HijackThis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                    C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
                    C:\PROGRA~1\SPYBOT~1\SDHelper.dll
                    O2 - BHO: Class - {6BD4ABBD-3523-C873-457D-313BA77F97C0} - C:\WINDOWS\appdb.dll
                    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                    C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                    Files\Java\jre1.5.0_04\bin\jusched.exe
                    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                    O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe
                    autostart
                    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
                    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
                    /minimized
                    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                    C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                    O9 - Extra 'Tools' menuitem: Sun Java Console -
                    {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                    Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                    C:\Program Files\Messenger\msmsgs.exe
                    O9 - Extra 'Tools' menuitem: Windows Messenger -
                    {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                    skaner.mks.com.pl/SkanerOnline.cab
                    O23 - Service: Network Security Service (NSS) ( 11Fßä#·şÄÖ`I) - Unknown owner -
                    C:\WINDOWS\system32\mstw.exe
                    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                    Software\Avast4\ashServ.exe
                    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                    C:\WINDOWS\system32\nvsvc32.exe

                    • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 16:21
                      Przeciez nie usunales tego co podalem!

                      Nowy wpis:
                      O2 - BHO: Class - {6BD4ABBD-3523-C873-457D-313BA77F97C0} - C:\WINDOWS\appdb.dll
                      <- plik usun.

                      Usluga jak byla tak dalej jest:
                      O23 - Service: Network Security Service (NSS) ( 11Fßä#·şÄÖ`I) - Unknown owner -
                      C:\WINDOWS\system32\mstw.exe

                      Uzyj tez tego:
                      cwshredder.net/bin/CWShredder.exe
                      i tego co juz podalem:
                      download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
                      download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
                      przeskanowaniu odinstaluj.
                      Zamknij porty tym:
                      www.firewallleaktester.com/tools/wwdc.exe

                      • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 16:53
                        przeskanowalem tymi wszystkimi programami co podales (3) pozamykalem porty tak
                        przynajmniej mi sie wydaje ale za nic w swiecie nie moge skasowac z poziomy
                        hijackathis tego pliku z tymi chinskimi znaczkami- w trakcie pracy w trybie
                        awaruyjnym uruchamiam hijacka scanuje
                        i daje wchodze tam config itd pozniej wklejam z notatnika ta nzawe z nawiasow i
                        klikam ok to mi sie wyjwietla komunikat Was not found in the regidstry.Make sure
                        you entered the short name of the service, vbExclanation czy cos takiego?
                        piponizej wklejam log z hijacka po tym wszsytkim co do tej pory zrobilem alboo
                        czego mi sie nie udalo zrobic

                        Logfile of HijackThis v1.99.1
                        Scan saved at 16:49:14, on 2005-10-09
                        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                        Running processes:
                        C:\WINDOWS\System32\smss.exe
                        C:\WINDOWS\system32\winlogon.exe
                        C:\WINDOWS\system32\services.exe
                        C:\WINDOWS\system32\lsass.exe
                        C:\WINDOWS\system32\svchost.exe
                        C:\WINDOWS\System32\svchost.exe
                        C:\WINDOWS\system32\userinit.exe
                        C:\WINDOWS\Explorer.EXE
                        C:\WINDOWS\system32\spoolsv.exe
                        C:\WINDOWS\SOUNDMAN.EXE
                        C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                        C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
                        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                        C:\Program Files\Winamp\winampa.exe
                        C:\Program Files\Skype\Phone\Skype.exe
                        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                        C:\Program Files\Alwil Software\Avast4\ashServ.exe
                        C:\WINDOWS\system32\nvsvc32.exe
                        C:\Documents and Settings\Karol\Pulpit\hijackthis\HijackThis.exe

                        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                        C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                        O2 - BHO: Class - {26ED9CDF-2406-B407-B126-1D1BFA0A9292} -
                        C:\WINDOWS\system32\appci.dll
                        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
                        C:\PROGRA~1\SPYBOT~1\SDHelper.dll
                        O2 - BHO: Class - {6BD4ABBD-3523-C873-457D-313BA77F97C0} - C:\WINDOWS\appdb.dll
                        (file missing)
                        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                        C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                        O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                        Files\Java\jre1.5.0_04\bin\jusched.exe
                        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                        O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe
                        autostart
                        O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
                        O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
                        /minimized
                        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                        C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                        O9 - Extra 'Tools' menuitem: Sun Java Console -
                        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                        Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                        C:\Program Files\Messenger\msmsgs.exe
                        O9 - Extra 'Tools' menuitem: Windows Messenger -
                        {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                        skaner.mks.com.pl/SkanerOnline.cab
                        O23 - Service: Network Security Service (NSS) ( 11Fßä#·şÄÖ`I) - Unknown owner -
                        C:\WINDOWS\system32\mstw.exe (file missing)
                        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                        Software\Avast4\ashServ.exe
                        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                        C:\WINDOWS\system32\nvsvc32.exe

                      • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 17:21
                        zrobilem to recznie tak jak pisales (wylaczylem) ale nie moglem zrobic tego
                        kroku z config<<<MISC Tools itd ponizej wklejam log tak jak teraz to wyglada.
                        napisz czy to juz po wszsytkim czy cos jeszcze trzeba zrobic, zaraz chce
                        przeskanowac ponownie Spay&botem i zobaczyc czy usunalem czy nie-tylko nie wiem
                        czy to dobre bedzie . Daj znac jak mozesz.pozdrawiwam
                        • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 17:21
                          Logfile of HijackThis v1.99.1
                          Scan saved at 17:18:43, on 2005-10-09
                          Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                          Running processes:
                          C:\WINDOWS\System32\smss.exe
                          C:\WINDOWS\system32\winlogon.exe
                          C:\WINDOWS\system32\services.exe
                          C:\WINDOWS\system32\lsass.exe
                          C:\WINDOWS\system32\svchost.exe
                          C:\WINDOWS\System32\svchost.exe
                          C:\WINDOWS\Explorer.EXE
                          C:\WINDOWS\system32\spoolsv.exe
                          C:\WINDOWS\SOUNDMAN.EXE
                          C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                          C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
                          C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                          C:\Program Files\Winamp\winampa.exe
                          C:\Program Files\Skype\Phone\Skype.exe
                          C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                          C:\Program Files\Alwil Software\Avast4\ashServ.exe
                          C:\WINDOWS\system32\nvsvc32.exe
                          C:\Program Files\Mozilla Firefox\firefox.exe
                          C:\Documents and Settings\Karol\Pulpit\hijackthis\HijackThis.exe

                          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                          hsremove.com/done.htm
                          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
                          hsremove.com/done.htm
                          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                          C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                          O2 - BHO: Class - {26ED9CDF-2406-B407-B126-1D1BFA0A9292} -
                          C:\WINDOWS\system32\appci.dll
                          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
                          C:\PROGRA~1\SPYBOT~1\SDHelper.dll
                          O2 - BHO: Class - {6BD4ABBD-3523-C873-457D-313BA77F97C0} - C:\WINDOWS\appdb.dll
                          (file missing)
                          O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                          O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                          C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                          O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                          O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                          Files\Java\jre1.5.0_04\bin\jusched.exe
                          O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                          O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                          O4 - HKLM\..\Run: [Error Nuker] C:\Program Files\Error Nuker\bin\ErrorNuker.exe
                          autostart
                          O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
                          O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
                          /minimized
                          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                          C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                          O9 - Extra 'Tools' menuitem: Sun Java Console -
                          {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                          Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                          C:\Program Files\Messenger\msmsgs.exe
                          O9 - Extra 'Tools' menuitem: Windows Messenger -
                          {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                          skaner.mks.com.pl/SkanerOnline.cab
                          O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                          C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                          O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                          Software\Avast4\ashServ.exe
                          O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                          C:\WINDOWS\system32\nvsvc32.exe

                          • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 17:26
                            ciagle to samo, sprawdzilem spay botem i znwo0u jest-kufa cos musze zle robic
                            ale nie wiem co.dzieki za pomoc
                            • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 18:20
                              Zostal juz tylko ten CWS:
                              O2 - BHO: Class - {26ED9CDF-2406-B407-B126-1D1BFA0A9292} -
                              C:\WINDOWS\system32\appci.dll
                              O2 - BHO: Class - {6BD4ABBD-3523-C873-457D-313BA77F97C0} - C:\WINDOWS\appdb.dll
                              (file missing)

                              Wklej mi log z:
                              www.silentrunners.org/Silent%20Runners.vbs
                              zrobiony w trybie awaryjnym.

                              Log z tego wyslij mi na maila kolobos1@gazeta.pl
                              lineofire.geekstogo.com/FindIt%20NT-2K-XP.zip (uruchom !log!.bat i
                              poczekaj az sie utworzy log.

                              • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 18:51
                                chyba wrescie mi sie udalo.jak przeskanowalem spy&botem to nie wyklrylo jego i w
                                explorerze normalnie uruchamia sie np onet c( czyli strona domyslna), a te o
                                ktorych wspominasz to wiem ze przy tych BHO to jakies problemy mial hijackthin i
                                nie chcial cxzegos tam zrobic.No i nie udalo mi sie tego zrobic Config<<< misc
                                tool s itd - ale wczesniejn usunalem go recznie( wylaczylem) i teraz jak tam
                                wchodzilem to juz tego calego pliku nie bylo (znikł czy co?)sic!. Podejrzewam ze
                                i tak czekam mnie format systemu bo troche tych plkiow natracilem.oby mi sie
                                zaraz znowu nie pojawil. ale mam jeszcze jakies 3 inne: CoolWWWSearch,
                                CoolWWWSearch.Aff.Windows, CoolWWWSearch.Home.Search - wiesz moze jak te usunac,
                                wszystkimi tymi wczesniejszymi prgramami skanowalem ale ich nie znajdowalo tylko
                                spay&bot to wykrywa i widze ze te robaki dzioslaja tak ze pojawiaja sie w
                                uluboionych jako stronki (adressy www)Czekam na dalsze rady :) daj mi jeszcze
                                cynk czy nadal mam ci wyslac ten log na maila.dzieki
                                • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 19:16
                                  Taj teraz wyglada old ze spay&bota
                                  Logfile of HijackThis v1.99.1
                                  Scan saved at 19:13:50, on 2005-10-09
                                  Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                                  Running processes:
                                  C:\WINDOWS\System32\smss.exe
                                  C:\WINDOWS\system32\winlogon.exe
                                  C:\WINDOWS\system32\services.exe
                                  C:\WINDOWS\system32\lsass.exe
                                  C:\WINDOWS\system32\svchost.exe
                                  C:\WINDOWS\System32\svchost.exe
                                  C:\WINDOWS\Explorer.EXE
                                  C:\WINDOWS\system32\spoolsv.exe
                                  C:\WINDOWS\SOUNDMAN.EXE
                                  C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                                  C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
                                  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                                  C:\Program Files\Winamp\winampa.exe
                                  C:\Program Files\Skype\Phone\Skype.exe
                                  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                                  C:\Program Files\Alwil Software\Avast4\ashServ.exe
                                  C:\WINDOWS\system32\nvsvc32.exe
                                  C:\Program Files\Mozilla Firefox\firefox.exe
                                  C:\WINDOWS\system32\wuauclt.exe
                                  C:\Documents and Settings\Karol\Pulpit\hijackthis\HijackThis.exe

                                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl/
                                  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
                                  hsremove.com/done.htm
                                  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                                  C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                                  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
                                  C:\PROGRA~1\SPYBOT~1\SDHelper.dll
                                  O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                                  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                                  O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                                  O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                                  C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                                  O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                                  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                                  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                                  Files\Java\jre1.5.0_04\bin\jusched.exe
                                  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                                  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                                  O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
                                  /minimized
                                  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                                  C:\Program Files\Messenger\msmsgs.exe
                                  O9 - Extra 'Tools' menuitem: Windows Messenger -
                                  {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                  O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                  skaner.mks.com.pl/SkanerOnline.cab
                                  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                                  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                                  O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                                  Software\Avast4\ashServ.exe
                                  O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                                  C:\WINDOWS\system32\nvsvc32.exe

                                  moze cos tu dalej jest nie tak? staram sie usunac tego CoolWWWSearch za pomoca
                                  CWShredder - nicby pisze ze nie ma na moim kompie tego robaka a jednak jak
                                  wlacze spay to wykrywa i usuwa ale tylko na chwile a pozniej znowu jest. moze w
                                  ulubionych wykasowac te caly folder? tylko czy jak go skasuje to pozniej bedzie
                                  mozliwosc odinstalowania tego shitu?
                                  • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 19:44
                                    udalo sie. Dzieki wielkie.Pozdrawiam
                                  • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 19:45
                                    Log wyglada juz ok.
                                    Nic Ci nie da kasowanie ulubionych, ale jak juz sie zdecydujesz to wklej/wyslij
                                    logi o ktore prosilem.
                              • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 20:06
                                jezeli chodzi o to pierwsze to w trybie awaryjnym nie moge sie polaczyc z siecia
                                a to drugie w tym pliky spakowanym nie ma tego pliku !log!bat ; ale jeszcze
                                poprobuje i jak cos uda mi sie zdzialac to sie odezwe i przesle na maila
                                • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 20:11
                                  Po co masz sie laczyc z siecia? Masz uruchomic plik vbs z tej strony, a
                                  sciagnac go wczesniej.
                                  Co do tego drugiego to po rozpakowaniu musisz rozpakowac jeszcze raz albo
                                  kliknac dwa razy i samo sie wypakuje.
                                  • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 20:48
                                    wyslalem. a powiedz mi jeszcze jak mozesz czy uruchomic teraz win32 przy
                                    styarcie systemu? i czy przywrocic (wlaczyc) przywracanie systemu na wszsytkich
                                    dyskach? ponadtopojawia mi sie opkno narzedzi konfiguracyjnych systemu - co z
                                    tym zrobic? ponownie uruchomic to co odchaczylem?
                                    • Gość: kaol Re: CoolWWWSearch, trek blue error nuker IP: *.master.pl 09.10.05, 21:09
                                      a co do tych szkod wyrzadzonych przez nukera to nie mam tam pliku HOSTS o kotrym
                                      mowa mam tylko ten drugi i jeszcze dwa jakies pozostale? czy musze tam dograc
                                      ten plik i skad go wytrzasnac? bo nie posuadam obecnie tej plyty z win xp ktory
                                      mam na dysku
                                    • Gość: Kolobos Re: CoolWWWSearch, trek blue error nuker IP: *.warszawa.sdi.tpnet.pl 09.10.05, 21:56
                                      Czy mozesz pisac jeden post w nim napisac wszystko, a nie pare naraz? To samo
                                      dotyczy poczy...

                                      > czy uruchomic teraz win32 przy styarcie systemu?

                                      Nie wiem o co Ci chodzi.. i w sumie nie chce juz wiedziec.
                                      Przywracania nie musisz wlaczac jak nie chcesz.
                                      Z hosts nic nie rob, zostaw to wszystko juz w spokoju.

Pełna wersja